FTB perspėja, kad grėsmės veikėjai diegia kenkėjiškas programas gyvenimo pabaigos (EOL) maršrutizatoriuose, kad juos pavertė įgaliotiniais, parduodamais „5Socks“ ir „Anyproxy“ tinkluose.
Šie įrenginiai, kurie buvo išleisti prieš daugelį metų ir nebegauna savo pardavėjų saugumo atnaujinimų, yra pažeidžiami išorinių atakų, panaudojančių viešai prieinamus išnaudojimus, kad įšvirkštų nuolatinę kenkėjišką programą.
Kai jie bus kompromituoti, jie pridedami prie gyvenamųjų tarpinių serverių botnetų, kurie nukreipia kenkėjišką eismą. Daugeliu atvejų šiuos įgaliojimus naudoja kibernetiniai nusikaltėliai, kad galėtų vykdyti kenksmingą veiklą ar kibernetinius išpuolius.
„Turėdami„ 5Socks “ir„ Anyproxy “tinklą, nusikaltėliai parduoda prieigą prie kompromituojamų maršrutizatorių kaip klientų įgaliotinius, kuriuos galima įsigyti ir naudoti“, – aiškina „FTB Flash“ patarimas.
„Tarėjai gali būti naudojami grėsmės veikėjams, kad užmaskuotų savo tapatybę ar vietą”.
Patarime pateikiami šie „EOL Linksys“ ir „Cisco“ modeliai kaip įprasti tikslai:
- „Linksys E1200“, E2500, E1000, E4200, E1500, E300, E3200, E1550
- „Linksys WRT320N“, „WRT310N“, WRT610N
- „CradlePoint E100“
- „Cisco M10“
FTB perspėja, kad Kinijos valstybės remiami veikėjai išnaudojo žinomus (N-dienos) pažeidžiamumus šiuose maršrutizatoriuose, kad vykdytų slaptas šnipinėjimo kampanijas, įskaitant operacijas, nukreiptas į kritinę JAV infrastruktūrą.
Susijusiame biuletenyje agentūra patvirtina, kad daugelis šių maršrutizatorių yra užkrėsti kenkėjiškų programų „Themoon“ variantu, leidžiančia grėsmės veikėjams sukonfigūruoti juos kaip tarpinius serverius.
„Gyvenimo maršrutizatoriai buvo pažeisti kibernetinių aktorių, naudodamiesi„ Themoon “kenkėjiškų programų botneto variantais“, – rašoma FTB biuletenyje.
„Neseniai kai kurie maršrutizatoriai gyvenimo pabaigoje, įjungus nuotolinį administraciją, buvo nustatyti kaip kompromituojami naujas„ Themoon “kenkėjiškos programos variantas. Ši kenkėjiška programa leidžia kibernetiniams veikėjams įdiegti įgaliotinius į neįtariančius aukų maršrutizatorius ir anonimiškai atlikti kibernetinius nusikaltimus.”
Kai pakenkta, maršrutizatoriai prisijungia prie „Command and Control“ (C2) serverių, kad gautų komandas, kurias reikia vykdyti, pvz., Nuskaitydami pažeidžiamus prietaisus ir kompromituojant internete.
FTB sako, kad tada įgaliotiniai naudojami aptikti aptikimą kriptovaliutų vagysčių metu, kibernetinių nusikaltimų už nuomą veiklą ir kitas nelegalias operacijas.
Įprasti kompromiso požymiai, susiję su botnet, apima tinklo ryšio sutrikimus, perkaitimą, našumo blogėjimą, konfigūracijos pokyčius, nesąžiningų administratorių vartotojų išvaizdą ir neįprastą tinklo srautą.
Geriausias būdas sušvelninti botnet infekcijų riziką yra pakeisti gyvenimo pabaigos maršrutizatorius naujesniais, aktyviai palaikomais modeliais.
Jei tai neįmanoma, pritaikykite naujausią savo modelio programinės aparatinės įrangos atnaujinimą, įsigytą iš pardavėjo oficialaus atsisiuntimo portalo, pakeiskite numatytąjį administratoriaus paskyros kredencialus ir išjunkite nuotolinės administravimo skydelius.
FTB turi bendro kompromiso rodiklius, susijusius su kenkėjiška programine įranga, įdiegta EOL įrenginiuose.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
